1 Risque

* Atteinte à l’intégrité des données ;
* atteinte à la confidentialité des données.

2 Systèmes affectés

Les différentes vulnérabilités affectent les versions suivantes :

* 4.1.0 à 4.1.36 ;
* 5.5.0 à 5.5.25 et 6.0.0 à 6.0.14 ;
* 6.0.5 à 6.0.15.

3 Résumé

Plusieurs vulnérabilités affectent le moteur de servlets Apache Tomcat. Elles
permettent de manipuler des données à distance et cela en contournant la
politique de sécurité.

4 Description

Les vulnérabilités sont dues à la mauvaise validation de différentes entrées.
Elles concernent entre autres une mauvaise vérification des caractères insérés
dans un cookie.

5 Solution

Se référer aux bulletins de sécurité de l’éditeur pour l’obtention des
correctifs (cf. section Documentation).

6 Documentation

* Bulletins de sécurité pour Apache Tomcat 4.x, 5.x et 6.x.

http://tomcat.apache.org/security-4.html

http://tomcat.apache.org/security-5.html

http://tomcat.apache.org/security-6.html

* Référence CVE CVE-2007-533 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-533

* Référence CVE CVE-2007-6286 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6286

* Référence CVE CVE-2008-0002 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0002